Archives par mot-clé : bug

Cybersécurité, Espionnage Spy, IA

Bug Copilot Chat expose des e-mails confidentiels

Depuis fin janvier 2026, un bug dans Microsoft 365 Copilot permettrait de lire et résumer des mails pourtant marqués confidentiels, en contournant des politiques censées empêcher l’IA d’analyser ces contenus.

Des développeurs de Microsoft ont signalé un dysfonctionnement de Microsoft 365 Copilot : Copilot Chat peut accéder à des courriels confidentiels et les résumer, malgré des politiques de protection contre les fuites de données prévues pour bloquer l’analyse automatisée. Le bug touche le chat de l’onglet « Travail ». Le problème concerne surtout les dossiers « Éléments envoyés » et « Brouillons », y compris des messages avec balises de confidentialité.

Un contournement silencieux des garde-fous DLP

Le point de départ ressemble à un scénario que redoutent toutes les équipes sécurité : l’outil est autorisé, l’usage est légitime, mais la barrière de protection ne joue plus son rôle. Dans ce cas précis, Microsoft 365 Copilot, via Copilot Chat, se serait mis à lire et à résumer des courriels confidentiels, alors même que des politiques de prévention des fuites de données devraient limiter l’accès des outils automatisés à ces messages.

Copilot Chat est décrit comme un chatbot contextuel, intégré à Word, Excel, PowerPoint, Outlook et OneNote, et conçu pour permettre des échanges avec des agents IA à partir du contenu de travail. L’outil est disponible pour les abonnés Microsoft 365 Entreprise depuis septembre 2025, ce qui le place au cœur des flux bureautiques et, par extension, au contact direct d’informations sensibles.

Le bug signalé ne porte pas sur un détail d’interface mais sur un principe de gouvernance : les balises de confidentialité servent précisément à empêcher des systèmes automatisés, dont Copilot, d’analyser le contenu de certains messages. Or, selon les éléments rapportés, l’assistant aurait ignoré cette contrainte dans une zone très utilisée, la fonction de chat accessible dans l’onglet « Travail ». Le risque, dans un environnement où les utilisateurs sollicitent l’IA pour gagner du temps, est mécanique : une demande anodine de synthèse peut faire remonter des informations qui n’auraient jamais dû être prises en compte par un système automatisé.

D’après Bleeping Computer, le bug est référencé CW1226324 et a été signalé pour la première fois le 21 janvier. La chronologie compte, car elle suggère une fenêtre d’exposition depuis fin janvier, période durant laquelle l’outil a pu traiter des messages censés rester hors périmètre. Dans un cadre cyber, cette temporalité est un indicateur opérationnel : plus la fenêtre est longue, plus la probabilité d’un usage involontaire, puis d’une propagation secondaire, augmente.

Éléments envoyés, brouillons, et la surface d’exposition interne

Le dysfonctionnement serait concentré sur la manière dont Copilot Chat traite les dossiers « Éléments envoyés » et « Brouillons ». C’est un détail qui pèse lourd. Les brouillons, par définition, contiennent souvent des formulations non stabilisées, des négociations en cours, des éléments juridiques avant validation, ou des fragments d’informations qui ne sont pas encore destinés à circuler. Les éléments envoyés, eux, constituent une mémoire fidèle des décisions, des engagements et des échanges sensibles avec l’extérieur. Si ces deux répertoires sont mal gérés par la logique de protection, l’IA peut devenir une interface de recherche et de synthèse sur des contenus que l’organisation a explicitement tenté de verrouiller.

Microsoft aurait attribué le bug à une erreur de code, sans fournir de détails. Ce silence technique est classique dans les incidents qui touchent à des mécanismes de sécurité internes : trop d’informations aideraient aussi les attaquants à comprendre précisément le contournement. Mais l’absence de précisions laisse les responsables sécurité dans une zone inconfortable, car ils doivent estimer l’impact sans connaître le scénario exact, ni les conditions de déclenchement.

Le correctif aurait commencé à être déployé début février. Là encore, la formulation est importante : un déploiement n’est pas une résolution instantanée. En entreprise, la réalité est faite d’environnements hétérogènes, de délais de propagation, de dépendances et de configurations spécifiques. Microsoft n’a pas communiqué de date de résolution complète, ni le nombre d’utilisateurs ou d’organisations concernés. L’entreprise a aussi précisé que l’étendue du problème pourrait évoluer au fil de l’enquête, ce qui suggère un périmètre encore en consolidation.

Sur le plan renseignement et gestion du risque, l’incident rappelle une règle dure : lorsque l’IA est imbriquée dans les outils de travail, la moindre défaillance de segmentation transforme un assistant de productivité en amplificateur de visibilité interne. Le danger n’est pas uniquement l’exfiltration externe, il est aussi l’exposition latérale, celle qui permet à une information de franchir des frontières de confidentialité à l’intérieur même de l’organisation, via des résumés, des reformulations et des requêtes contextuelles.

Ce bug met en tension deux promesses opposées : la fluidité du travail assisté par IA et la granularité des contrôles de confidentialité. Pour les défenseurs, l’enjeu n’est pas de diaboliser l’outil, mais de traiter l’IA comme un composant à privilèges, soumis aux mêmes exigences d’audit, de traçabilité et de cloisonnement que n’importe quel système sensible.

Quand l’IA sait lire, le vrai enjeu de cyber-renseignement devient de contrôler précisément ce qu’elle a le droit de comprendre.

Hacking

Une mise à jour Adobe Lightroom efface les photos

Voilà qui est fâcheux pour les utilisateurs de l’application Adobe Lightroom pour iPhone et iPad. La dernière mise à jour effacé les photos des utilisateurs.

Abracadabra… plus de photos ! La dernière mise à jour pour Adobe Lightroom à destination des iPhone et Ipad a effacé les photos des utilisateurs. Un étonnant bug qu’Adobe a rapidement corrigé, mais le mal était fait pour de nombreux utilisateurs. « Certains clients qui ont mis à jour vers Lightroom 5.4.0 sur iPhone et iPad peuvent perdre des photos et / ou des préréglages. Cela a affecté les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n’avaient pas encore été synchronisés avec le cloud Adobe.« 

Les utilisateurs de l’outil dédié aux photos sous Android, MacOS et Windows n’ont pas connu cette faille. « L’installation de la version 5.4.1 ne restaurera pas les photos ou préréglages manquants pour les clients affectés par le problème introduit dans la version 5.4.0. » souligne Adobe en s’excusant du problème. « Nous savons que certains clients ont des photos et des préréglages qui ne sont pas récupérables. Nous savons à quel point cela sera frustrant et bouleversant pour les personnes touchées et nous nous excusons sincèrement.« 

Fuite de données

Takeout de Google stockait chez des inconnus

Google corrige un « bug » dans Takeout qui a stocké des photos et vidéos dans le cloud de parfaits inconnus.

Vous utilisez Google Takeout ? Le géant américain a corrigé un « bug » dans son outil de sauvegarde. Ce dernier a soudainement stocké des photos et des vidéos dans les clouds d’inconnus. Un problème apparu fin novembre 2019.

La société a envoyé des mails aux utilisateurs pour les informer du problème. Pour une courte durée, certaines de leurs vidéos sauvegardées avaient été communiquées par erreur dans des archives d’étrangers.

Il est indiqué que les utilisateurs qui ont exporté leurs photos ou vidéos entre le 21 novembre et le 25 novembre 2019 via Google Takeout, ont été affectés par ce problème. »Nous avons résolu le problème sous-jacent et avons mené une analyse approfondie pour éviter que cela ne se reproduise. Nous sommes désolés que cela se soit produit « , a déclaré Google.

Google Takeout permet de sauvegarder les données tirées des différents services de la firme de Mountain View.

Cybersécurité, IOT, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Gros bugs pour Microsoft et son service de mails Outlook

Les services de courrier électronique de Microsoft (Outlook, …) ont été frappés par deux bugs aujourd’hui lundi 18 septembre. Outlook, Exchange Online ont eu des ratés comme le confirme Microsoft. Des bugs qui ont posé des « problèmes » avec « certains » utilisateurs du service Outlook.com en Europe.

Selon downdetector.com, plusieurs centaines d’utilisateurs ont signalé des problèmes tels que la difficulté à recevoir des messages et à se connecter à leurs comptes de messagerie Web (Outlook/Hotmail/Windows Live Hotmail). Pour le moment, Microsoft n’en n’a pas dit plus sur le pourquoi du comment de ces bugs à répétitions.

Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Particuliers, Patch

Une mise à jour plante des milliers de télévisions connectées Samsung

Des milliers de télévisions connectées de marque Samsung sont aux abonnés absents. Les propriétaires font les frais d’une mise à jour qui a tout planté.

Des milliers de propriétaires de télévisions connectées haut de gamme Samsung se sont plaints après une mise à jour logicielle qui a laissé leur écran sourd et muet. La raison, une mise à jour bancale. L’alerte a été lancée par le quotidien britannique « The Guardian« . La société coréenne a déclaré aux clients qu’elle travaillait pour résoudre le problème, mais que jusqu’à présent (soit plus d’une semaine, Ndr) rien n’est encore sorti pour corriger le « bug ». Le problème semble affecter les derniers modèles de la marque car les propriétaires d’anciens téléviseurs Samsung ne signalent aucun soucis. Une fois encore, le géant Samsung montre de léger dérapage dans sa structure. En 2016, l’entreprise proposait dans ses téléviseurs vendus au Royaume-Uni l’application BBC iPlayer. Sauf que l’entreprise avait omis d’en acquérir les droits. La diffusion des images étaient donc impossibles pour les acquéreurs des coûteux écrans. Un étonnant bug qui apparaît alors que Samsung a lancé, ce 23 août, son Samsung Note 8.

Cybersécurité, Mise à jour, Patch

676.000 Kms et plus de 270 problémes pour les voitures sans conducteur de Google

Le géant américaine de l’Internet vient de diffuser les chiffres traitant de ses Google Cars. 676.000 kilomètres et plus de 270 problèmes en 14 mois de tests.

La Google Car, le projet de voiture connectée et sans chauffeur de Google vient de connaitre ses premiers chiffres publics. 676.000 kilomètres parcourus sur les routes Californiennes et 272 interventions du « chauffeur » pour reprendre la main sur le véhicule afin d’éviter de finir dans un mur, dans un fossé ou contre le 38 tonnes qui passait par là. Des « anomalies » comme l’explique Google dans le rapport du Department of Motor Vehicles de Californie. 69 cas de reprise du volant l’ont été à la suite du jugement personnel du pilote d’essai. (Yahoo!)

Android, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Smartphone, Téléphonie

Google renforce son action pour le chiffrement des courriels

Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.

Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.

Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan «  »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.

Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.

Base de données, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Patch

Bug étrange pour H&M Belgique

Durant plusieurs dizaines de minutes, le site H&M Belgique a proposé dans sa boutique online l’ensemble de ses produits à 12,99€.

Une parka à 12,99 euros au lieu de 150 ; une veste à 12,99 au lieu des 70 euros habituels ; une chemise en soie pour 12,99€ au lieu de 40. L’ensemble de la boutique Internet Belge H&M a connu une salle aventure le week-end dernier. Un bug, une mise à jour ratée ou la manipulation malveillante de l’administration des prix ? H&M n’a pas communiqué sur le sujet, mais l’ensemble de son catalogue numérique était passé en intégralité à 12,99 euros. A noter également que les accessoires, moins chers, étaient eux aussi passés à 12,99 euros. (hln)

Android, Apple, Cybersécurité, Entreprise, ios, Logiciels, Microsoft, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Planter Skype à coup de http://:

Planter le Skype d’un correspondant et l’empêcher de redémarrer la machine, simple comme un message de 8 signes.

Nous avions vu, la semaine dernière, comment une commande mal interprétée dans certains iPhone, utilisant une version iMessage boguée (L’ensemble des iPhone n’était pas sensible à ce bug comme on a pu le lire un peu partout, NDLR).

Cette fois, prenons Skype avec une vulnérabilité bien plus gênante. Que vous soyez sous iOS, Android, Windows (sauf Windows 8.1) ou Mac, le fait d’envoyer le message  » http://:  » à un correspondant fait planter son outil de communication en ligne. Plus gênant encore, le chercheur russe qui est tombé sur ce bug, s’est rendu compte que le « code » continué le blocage de Skype si le message n’était pas effacé par l’émetteur. La solution, réinstaller l’outil de Microsoft dans sa nouvelle version. La rédaction s’est amusée à bloquer ses propres Skype sous MAC (OS X 10.10.3) ou Windows (Skype 7.3.0.101). Ca fonctionne malheureusement que trop bien. Imaginez les entreprises, utilisatrices de ce moyen de conversation. Lors d’un rendez-vous important, plus possible de communiquer. Bref, mise à jour obligatoire !

Argent, Banque, Chiffrement, cryptage, Logiciels, Sécurité

C’est la fête à 3D Secure

2 commentaires

Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.

Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.

Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.

Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.

Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzen tronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .